我使用的PHP HTTPS和有几个安全问题:HTTPS会话cookie,并张贴安全使用PHP
+我看到这个链接:
"secure" parameter in session_set_cookie_params
这是否意味着,即使安全标志是用cookie设置的,它只允许客户端将它传递给https地址?如果cookie包含session_id,我应该在从服务器发送之前对其进行加密,然后在接收时解密它?
+当我从https页面登录到https地址时,firefox会在POST数据中显示纯文本密码。这是安全风险吗?我也可以在没有安全风险的情况下将表单放在常规的http页面上吗?
更新:我想要做的是防止会话劫持。我应该不是通过http发送任何包含session_ids的cookie吗?这是我正在开发的kohana脚本,它似乎即使未登录也会启动会话。我正在考虑在session_start()之前检查https。
Firefox在帖子数据中显示明文密码的位置在哪里?您是否有扩展程序向您显示已发布的数据? – Canuteson
php manual states,'secure'指示如果您的操作使用的是https,则只应通过来自客户端 – david
的安全HTTPS连接传输Cookie,然后将其加密发送(如果不是,则清除) – david